我有一个带有 NPS 的 Win2K8 服务器。我正在尝试在 FortiGate 防火墙上设置我的 VPN 身份验证,以通过 Radius 从我的 Windows 服务器授权用户。
我配置了两个策略
- 定义客户端和 Radius 密码的连接策略
- 定义所需 AD 组成员身份和所需请求访问服务器(即防火墙)的网络策略
网络策略选中了“忽略用户帐户拨入属性”复选框。
如果用户帐户在其拨入属性页面上选择了“通过 NPS 策略控制访问”,则访问被拒绝。如果我将其更改为“允许访问”,则允许访问。
如果我将其保留在“允许访问”并从所需的 AD 组中删除用户,则授予访问权限,这让我感到困惑。
那么,无论选择何种拨入属性,获取 NPS 策略以确定是否授予访问权限需要什么?
我在描述此问题的服务器故障上找到了另一个问题,但建议的重新排序策略的解决方案无济于事。
解决方案是:仔细检查您的政策。
就我而言,我没有仔细阅读标准,并且定义的连接和网络策略都提到了“客户端 IPv4 地址”而不是“访问客户端 IPv4 地址”。
我知道这很旧,但是在尝试连接到我们的无线网络时,我在一台计算机上遇到了同样的问题。我进入我的 NPS 网络策略并选择忽略拨入属性,但我仍然无法连接到这台计算机上的网络。我不断收到错误 65“Active Directory 中用户帐户的拨入属性中的网络访问权限设置被设置为拒绝访问用户。要将网络访问权限设置更改为允许访问或通过控制访问NPS 网络策略,在 Active Directory 用户和计算机中获取用户帐户的属性,单击拨入选项卡,然后更改网络访问权限。” 在 NPS 服务器安全日志上的事件日志中。最终,解决方案是从 AD 中删除我的计算机,删除 AD 帐户,卸载我的网络适配器并重新启动计算机以允许它们自动重新安装。在此之后,我能够连接到网络并通过 NPS 成功进行身份验证。
我今天遇到了这个问题...确保您使用的是 AD CA 并将计算机从域中取出并重新加入。